Geacon Mac Kötü Amaçlı Yazılım

Siber güvenlik araştırmacılarına göre Geacon Kötü Amaçlı Yazılımı, Go programlama dili kullanılarak oluşturulmuş Cobalt Strike beacon'ın bir uygulamasıdır. Tehdit, macOS cihazlarını hedeflemek için güçlü bir tehdit aracı olarak ortaya çıktı. Geacon ve Cobalt Strike başlangıçta kuruluşlar tarafından simüle edilmiş saldırılar yoluyla ağ güvenliklerini test etmek için kullanılan yasal yardımcı programlar olarak tasarlanmış olsa da, kötü niyetli aktörler onları çeşitli hain faaliyetler için giderek daha fazla sömürdü.

Tehdit aktörleri, Windows sistemlerini tehlikeye atmak için yıllardır Cobalt Strike'tan yararlandı ve siber güvenlik endüstrisinin bu kalıcı tehditle sürekli olarak mücadele etmesine öncülük etti. Ancak, Geacon'un kullanımındaki son artış, macOS cihazlarını hedef alan saldırıların genişleyen kapsamını vurgulamaktadır. Bu, bu araçlardan yararlanan tehdit aktörleri tarafından kullanılan gelişen taktiklere karşı koymak için gelişmiş ihtiyat ve proaktif önlemlere duyulan ihtiyacı ifade eder. Geacon Kötü Amaçlı Yazılımı ve zararlı yetenekleri hakkındaki ayrıntılar, tehdidin faaliyetlerini izleyen araştırmacılar tarafından hazırlanan bir raporda yayınlandı.

Vahşi Doğada Gözlemlenen Geacon Kötü Amaçlı Yazılımının İki Varyantı

Geacon ile ilişkili ilk dosya, 'Xu Yiqing's Resume_20230320.app' adlı bir AppleScript uygulamasıdır. Amacı, gerçekten bir macOS sisteminde çalıştığını doğrulamaktır. Bu onaylandıktan sonra dosya, saldırganların Çin menşeli bir IP adresine sahip Komuta ve Kontrol (C2) sunucusundan "Geacon Plus" olarak bilinen imzasız bir yükü almaya devam eder.

Belirli C2 adresi (47.92.123.17), daha önce Windows makinelerini hedef alan Cobalt Strike saldırılarıyla bağlantılıydı. Bu ilişkilendirme, gözlemlenen saldırının altyapısı ile önceki Cobalt Strike etkinliği örnekleri arasında potansiyel bir bağlantı veya benzerlik olduğunu öne sürüyor.

Yük, 'işaretleme faaliyetini' başlatmadan önce, sahte bir PDF dosyası görüntüleyerek kurbanları yanıltmak için aldatıcı bir taktik kullanır. Görüntülenen belge, kurbanın dikkatini kötü amaçlı yazılımın arka planda gerçekleştirdiği tehdit edici eylemlerden başka yöne çekmeyi amaçlayan Xy Yiqing adlı bir kişiye ait bir özgeçmiş kılığına giriyor.

Bu özel Geacon yükü, ağ iletişimini destekleme, veri şifreleme ve şifre çözme işlevlerini gerçekleştirme, ek yüklerin indirilmesini sağlama ve güvenliği ihlal edilmiş sistemden veri sızmasını kolaylaştırma dahil olmak üzere bir dizi yeteneğe sahiptir.

Geacon Kötü Amaçlı Yazılımı Truva Atlı Uygulamanın İçinde Gizleniyor

İkinci Geacon Kötü Amaçlı Yazılım yükü, güvenli uzaktan destek için kullanılan meşru SecureLink uygulamasının değiştirilmiş sürümleri olan SecureLink.app ve SecureLink_Client aracılığıyla dağıtılır. Ancak, bu truva atı haline getirilmiş sürüm, 'Geacon Pro' kötü amaçlı yazılımının bir kopyasını içerir. Bu özel yük, özellikle OS X 10.9 (Mavericks) veya sonraki sürümleri çalıştıran Intel tabanlı Mac sistemlerini hedefler.

Uygulamayı başlattıktan sonra, bilgisayarın kamerasına, mikrofonuna, kişilerine, fotoğraflarına, hatırlatıcılarına ve hatta yönetici ayrıcalıklarına erişim dahil olmak üzere çeşitli izinler ister. Bu izinler genellikle Apple'ın Şeffaflık, Rıza ve Kontrol (TCC) gizlilik çerçevesi tarafından korunur ve bunların verilmesi önemli riskler oluşturur.

Bununla birlikte, bu izinlerle ilişkili yüksek risk düzeyine rağmen, Geacon Kötü Amaçlı Yazılımının kılığına girerek kullanıcının şüphelerini hafiflettiği ve istenen izinleri vermesi için onları kandırdığı uygulama türü için o kadar da sıra dışı değiller. Mevcut bilgilere göre, bu Geacon Kötü Amaçlı Yazılım varyantı, 13.230.229.15 IP adresiyle Japonya'da bulunan bir C2 sunucusuyla iletişim kuruyor.

Son yıllarda, Mac cihazlarını hedef alan kötü amaçlı yazılım saldırılarında gözle görülür bir artış oldu. Bu artış, Mac bilgisayarların artan popülaritesine ve kötü amaçlı yazılımlara karşı bağışık olduklarına dair yanlış kanıya bağlanabilir. Siber suçlular, özellikle macOS sistemleri için tasarlanmış daha karmaşık ve hedefli kötü amaçlı yazılımların geliştirilmesine ve dağıtılmasına yol açan Mac kullanıcılarını hedeflemenin potansiyel değerini fark etti. Doğal olarak bu, Mac kullanıcılarının daha dikkatli olmasını ve cihazlarını kötü amaçlı yazılım bulaşmalarından korumak için yeterli güvenlik önlemlerinin uygulanmasını gerektiriyor.